マイクロソフト、古いWindowsに影響する「BlueKeep」脆弱性のフィックス適用を再度促す

Microsoftは企業に対し、古いバージョンの「Windows」にパッチを適用して、リモートから悪用される可能性がある「Remote Desktop Protocol」（RDP）サービスの深刻な脆弱性から保護するよう再度注意を促している。同社はこの脆弱性に関するブログの中で「EternalBlue」に言及した。EternalBlueは、「WannaCry」「NotPetya」「Bad Rabbit」といったランサムウェアの拡散に利用されたエクスプロイトだ。

この脆弱性（「BlueKeep」または「CVE-2019-0708」）を悪用する限定的な概念実証コードが数日前からオンラインに登場している。

Microsoft Security Response Center（MSRC）のインシデントレスポンス担当ディレクターのSimon Pope氏は、「Microsoftはこの脆弱性を突くエクスプロイトの存在を確信している。このところの報告が正しいとすれば、インターネットに直接接続された100万台近くのコンピューターが今もCVE-2019-0708に対して無防備な状態にある」と述べた。

約1週間前から、BlueKeepに対して脆弱なコンピューターのスキャンが急ピッチで進められている。Microsoftは、実際に攻撃が始まる場合に備えてあらためて警告を発している。

現在、「Windows XP」「Windows Vista」「Windows 7」「Windows Server 2003」「Windows Server 2008」向けにパッチが公開されている。これらは、BlueKeep攻撃に対して脆弱なWindowsバージョンだ。

Microsoftは5月の月例セキュリティパッチ（「Patch Tuesday」）をリリースした米国時間5月14日に、BlueKeepに関する最初の警告を発した。この脆弱性はワームの特徴（自己増殖が可能）を備えていると同社は説明していた。

Pope氏は、「われわれが推奨することは変わらず、影響を受けたすべてのシステムをできるだけ早くアップデートするよう強く勧める」と述べている。

同氏は、インターネットに接続されていないワークステーションが安全だと考えることの危険性についても、企業に警告している。

さらにPope氏は、これまでに攻撃がみられないことで安全だと考えることについても企業に注意を促している。

「フィックスがリリースされて2週間しか経っておらず、ワームの兆候はまだない。それでは安心できることにならない」

「この脆弱性（を突くコード）がマルウェアに組み込まれることがない場合もありうる。しかしそうなると考えるべきではない」

現在のところ、GitHubで公開されているBlueKeepのデモエクスプロイトコードは、想定されているほど危険ではないようだ。リモートの脆弱なシステムをクラッシュさせる可能性があるだけで、その上でコードを実行しないためだ。

しかし、高度な技術を持つリバースエンジニアは、概念実証エクスプロイトでリモートコード実行に成功しているようだ。ただし、彼らは次の大規模なランサムウェアの拡散を引き起こしてしまうことを懸念して、エクスプロイトのリリースを拒否している。概念実証エクスプロイトを開発したセキュリティベンダーは、ZerodiumやMcAfee、Kaspersky、Check Point、MalwareTech、Valthekなどだ。